cs:services:eventclass:avail-ddos

Toto je starší verze dokumentu!


DDoS útok

Stroj byl zdrojem distribuovaného útoku DDoS. Může to znamenat 2 věci:

Stroj je zkompromitován a je součástí botnetu; je tedy třeba se problému důkladně věnovat, stroj otestovat vhodným antivirovým programem a odstranit v něm následky hackerského útoku.

Pokud byl použit protokol UDP (nejčastěji se zneužitím služeb DNS, NTP, SNMP nebo Memcache), může jít o odražený útok využívající rámců se zfalšovanou zdrojovou adresou. Zde obvykle pomáhá:

  • zavřít nebo vhodně omezit danou službu,
  • stroj umístit za firewall,
  • zkontrolovat správné routování podle dokumentu BCP38
  • Kontrola otevřeného DNS resolveru: http://www.openresolver.com
  • Kontrola funkčnosti NTP mode 6: $ ntpq -c rv IP_address
  • Kontrola funkčnosti NTP mode 7: $ ntpdc -c monlist IP_address
  • Kontrola funkčnosti SNMP - dotaz na sysName: $ snmpget -v2c -cpublic IP_address 1.3.6.1.2.1.1.5.0
Poslední úprava:: 24.03.2020 00:26